230215 - Steinkjer kommune

Protokoll for styremøte for
fo Inn-Trøndelag IKT 23.02.15
Tilstede:
Fra styret: Jacob Almlid, Jon Arve Hollekim, Torunn Austheim
I tillegg møtte: Truls Eggen og Anders Haraldsen
Saker:
01/15 Databehandleravtale med
ed Inderøy og Verran – utsatt sak 14/14
02/15 Informasjons- og datasikke
kerhet – felles styringsdokumenter i Inn-Trøndela
elagsamarbeidetutsatt sak 14/15
03/15 Årsmelding og regnskap 2014
04/15 Kostnadsfordeling Microsoft TUP på avtale 5654506 for 2013
05/15 IKT Kostnads- og modenhetsanalyse
Sak 01/15 Databehandleravtale med Inderøy og Verran
Forslag til vedtak:
Det inngås databehandleravtale med kommunene som inngår i Inn-Trøndelagssamarbeidet ut fra
utarbeidet mal.
Vedtak 06.10.2014:
Saken utsettes
Vedtak:
Det inngås databehandleravtale med kommunene som inngår i Inn-Trøndelagssamarbeidet ut fra
utarbeidet mal.
Saksfremstilling:
Inn-Trøndelag IKT har denne høsten fokus på å få på plass styrende sikkerhetsdokumenter. Da det
ikke er inngått egne databrukeravtaler med eksterne samarbeidspartnere, er det jobbet med å få
dette på plass. I tillegg bør det foreligge en databrukeravtale mellom kommunene i samarbeidet og
Inn-Trøndelag IKT.
Vedlagte foreslås benyttet.
Databehandleravtale
Avdeling:
Inn- Trøndelag IKT
Dokument-ID:
Avdelingsnavn:
Inn- Trøndelag IKT
Første gang opprettet:
Gyldig fra:
Gyldig til:
Erstatter:
Avtalens hensikt
Avtalens hensikt er å regulere rettigheter og plikter etter lov av 14. april 2000 nr. 31 om
behandling av personopplysninger (personopplysningsloven) og forskrift av 15.
desember 2000 nr. 1265 (personopplysningsforskriften). Det samme gjelder også etter
Lov av 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger
(helseregisterloven).
Avtalens parter:
I denne avtalen er….. kommune å anse som Databehandlingsansvarlig og Inn-Trøndelag IKT å
anse som Databehandler, jfr. pol. § 2 nr 4 og 5 og helseregisterloven § 2 nr. 8 og 9. Avtalen
regulerer
Databehandlers
bruk
av
personopplysninger
på
vegne
av
Databehandlingsansvarlig, herunder innsamling, registrering, sammenstilling, lagring,
utlevering eller kombinasjoner av disse.
Databehandlingsansvarlig bestemmer formålet for behandlingen av personopplysningene
og hvilke hjelpemidler som skal brukes, mens Databehandleren behandler
personopplysningene på vegne av Databehandlingsansvarlig.
Databehandlingsansvarlig har også ansvar for at dette er ivaretatt hos Databehandleren,
enten denne er intern eller en ekstern part. Dette reguleres i lovens § 15 og i tilhørende
forskrift § 2-15. Databehandleren kan kun behandle personopplysninger tilgjengeligjort av
Databehandlingsansvarlig i henhold til denne avtale.
Behandlingens formål skal ikke endres av noen av partene uten at ny avtale undertegnes.
Formål og virkeområde for avtalen
Formålet med avtalen er å regulere behandlingen av personopplysninger som
Databehandleren gjør på vegne av den Databehandlingsansvarlige. Avtalen skal sikre at
personopplysninger om de registrerte, ikke brukes urettmessig eller kommer
uberettigede i hende.
Varighet og oppsigelse
Avtalen trer i kraft ved at begge parter undertegner denne. Avtalen kan sies opp av begge
parter med 6 måneders varsel.
Når avtalen utløper plikter Databehandleren uten opphold å slette de personopplysningene
som denne har behandlet på vegne av Databehandlingsansvarlig. Dette gjelder ikke dersom
noe annet er bestemt mellom partene eller Databehandleren har plikt til å lagre
opplysningene etter norsk lov.
Databehandlerens plikter
Databehandleren kan bare behandle personopplysningene i henhold til de formål som er
bestemt av den behandlingsansvarlig og i samsvar med de vilkår som fremgår av
denne avtalen.
Databehandleren plikter å gjennomføre planlagte og systematiske tiltak som skal sørge
for tilfredsstillende sikring av personopplysningene, jf personopplysningslovens § 13 og
personopplysningsforskriftens kapittel 2 om informasjonssikkerhet.
Databehandleren plikter å gjøre seg kjent med og etterleve Databehandlingsansvarligs
internkontrollsystem, jf. personopplysningslovens § 14 og personopplysningsforskriftens
kapittel 3 om internkontroll.
Etter forespørsel fra Databehandlingsansvarlig plikter Databehandleren å dokumentere
at kravene til informasjonssikkerhet og internkontroll er ivaretatt.
Risikovurderinger skal gjennomføres og fremlegges for Databehandlingsansvarlig.
Databehandler skal behandle personopplysningene i samsvar med akseptabelt risikonivå
som
Databehandlingsansvarlig setter.
Dersom personopplysninger kommer på avveie, eller at det er mistanke om at disse er
kompromittert, skal Databehandler uten ugrunnet opphold varsle
Databehandlingsansvarlig. Databehandlingsansvarlig skal ha fullt innsyn i hele saken ved en
slik hendelse.
Databehandler skal etablere rutiner for logging av feil og avvik i henhold til
personopplysningsforskriftens kapittel 2.
Sikkerhet hos Databehandler
Databehandler skal sikre personopplysningenes konfidensialitet, integritet og tilgjengelighet,
jfr. personopplysningsloven §§ 13-15 med forskrifter.
Tilgang til tjenester og eget nettverk skal være basert på individuelle brukerkonti og
passord. Lagring av personopplysninger som behandles på vegne av
Databehandlingsansvarlig skal
sikres slik at kun autorisert personell har adgang til disse. Databehandlingsansvarlig og
Databehandler skal alltid vurdere behovet for tilgang før slik gis til Databehandlerens
medarbeidere. Databehandleren skal til enhver tid ha oversikt over hvilke medarbeidere
som har tilgang til personopplysingene.
Avviksmeldinger etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler
melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for avviksmelding
sendes datatilsynet.
Sikkerhetsrevisjoner
Behandlingsansvarlig skal avtale med databehandler at det gjennomføres sikkerhetsrevisjoner
jevnlig for systemer og lignende som omfattes denne avtalen.
Bruk av underleverandører
Dersom databehandler benytter seg av underleverandører eller andre som ikke normalt er
ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlig
før behandlingen av personopplysninger starter. (tilleggsavtale)
Samtidig som på vegne av databehandler utfører oppdrag av de aktuelle
personopplysningene inngår, skal være kjent med databehandlers avtalemessige og
lovmessige forpliktelser og oppfylle vilkårene etter disse.
Taushetsplikt
Partene skal bevare taushet om alle konfidensielle opplysninger, noens personlige forhold,
sikkerhetsmessige og forretningsmessige forhold, opplysninger som kan skade en av
partene eller som kan utnyttes av utenforstående i næringsvirksomhet.
Databehandlerens medarbeidere skal undertegne taushetserklæring.
Taushetsplikten gjelder også etter at avtalen er opphørt. Ansatte og andre som fratrer sin
tjeneste hos driftsoperatøren skal pålegges taushet også etter fratredelse om forhold som
nevnt over.
Mislighold
Dersom Databehandlingsansvarlig får sanksjoner i mot seg som følge av brudd på
bestemmelsene i personopplysningsloven med forskrift (for eksempel overtredelsesgebyr
etter § 46 eller erstatning etter § 49), og årsaken til dette ligger hos Databehandleren, kan
Databehandlingsansvarlig kreve at Databehandleren dekker det økonomiske tapet.
Rettsvalg
Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett.
Undertegning
Denne avtalen er undertegnet i to eksemplarer hvorav partene beholder ett eksemplar.
Sted/Dato,
Behandlingsansvarlig
For Virksomheten:
Databehandler
For leverandøren:
Sak 02/15 Informasjons- og datasikkerhet – felles styringsdokumenter i InnTrøndelagsamarbeidet
Forslag til vedtak:
Vedlagte utkast til informasjonssikkerhetsbok implementeres i alle tre kommuner i InnTrøndelagsamarbeidet.
Vedtak 06.10.2014:
Saken utsettes.
Vedtak:
Vedlagte utkast til informasjonssikkerhetsbok implementeres i alle tre kommuner i InnTrøndelagsamarbeidet.
Saksfremstilling:
Inn-Trøndelag IKT har denne høsten fokus på å få på plass styrende sikkerhetsdokumenter.
Databrukeravtale for den enkelte ansatte og reglement for bruk av data bør være felles for alle som
er ansatt i Inn-Trøndelagsamarbeidet.
I tillegg har det også vært dialog mellom kommunenes sikkerhetsansvarlig med tanke på å utarbeide
en felles informasjonssikkerhetshåndbok. Dette arbeidet er nå påbegynt, og kan implementeres i
den landsomfattende sikkerhetsmåneden oktober.
Det vises til vedlagte dokumenter.
INFORMASJONSSIKKERHETSHÅNDBOK
Håndhevelse i kommunen av
personopplysninger i henhold til
personopplysningsloven
23.02.15
1
INNLEDNING
1.1 Lover
- Personopplysningsloven inklusive dens forskrift
- Helseregisterloven
- Offentlighets- og forvaltningsloven
- Ulike særlover og bestemmelser for informasjonssikkerhet
er retningsgivende for behandling av personopplysninger og taushetsplikt i det offentlige.
Håndtering av personopplysninger gjelder både ved
- Elektronisk databehandling
- Papirdokumenter
- Muntlig tale
Personopplysningsloven setter klare og strenge krav til kommunal forvaltning av
personopplysninger, og ikke minst rettes det et spesielt fokus på ansvaret til ledelsen men også
ansvaret til den enkelte medarbeider klargjøres i denne loven og i særlovene.
Personopplysningsloven gjelder for
a) behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler.
b) annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister.
Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir
krenket gjennombehandling av personopplysninger. Loven skal bidra til at personopplysninger
blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for
personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.
Definisjoner fra personopplysningsloven, se vedlegg 1.
1.2
Kommunale oppgaver
Personopplysningsloven pålegger alle instanser inklusiv kommunene klare oppgaver og
rammer for behandling av personopplysninger.
Loven forutsetter at den behandlingsansvarlige dvs kommunene skal ha en
sikkerhetsstrategi som beskriver arbeidet med informasjonssikkerhet. Dette gjøres ved at
kommunene etablerer internkontroll ved å opprette tiltak som er nødvendige for å oppfylle
kravene i loven og forskriften.
Datatilsynet har utarbeidet retningslinjer for data- og informasjonssikkerhet i kommunene
knyttet opp mot bestemmelsene i Personopplysningsloven. Denne håndboka bygger på disse
retningslinjene; (for mer info se: www.datatilsynet.no)
2 ANSVAR
2.1 Ansvarsfordeling.
Følgende ansvarsfordeling gjelder:
Ansvarsfordeling.
Følgende ansvarsfordeling gjelder:
Kommunestyret/formannskap
 Har det formelle overordnede ansvaret for informasjonssikkerheten i kommunen og fastsetter de
overordnede mål.
Rådmannen
 Har ansvaret for at det utarbeides en helhetlig sikkerhetsplan for kommunen og at planen etterleves.
 Rådmannen skal sørge for at alle lover og retningslinjer i forbindelse med informasjonssikkerhet overholdes
Avdelingssjef
 Iverksetter nødvendige informasjonssikkerhetstiltak i forhold til elektronisk databehandling,
papirdokumenter og muntlig tale i avdelingen
 Ansvarlig for avdelingens registre og utarbeidelse av rutiner
 Er behandlingsansvarlig, og bestemmer derfor formålet med behandlingen av personopplysninger og hvilke
hjelpemidler som skal brukes
 Er systemeier for avdelingsvise fagapplikasjoner og gir skriftlig ansvar til fagapplikasjonens systemansvarlige
Tjenesteenhetsleder og registeransvarlig
 Skal legge forholdene til rette slik at tilsatte i enheten får nødvendig sikkerhetsforståelse og kunnskap.
 Nytilsatte skal umiddelbart få nødvendig IKT – innføring og opplæring
 Vurdere og iverksette nødvendige tiltak for å sikre håndteringen av personopplysninger i sin enhet.
Fagansvarlig IKT
 Har ansvar for forvaltning og drift av teknisk informasjonssikkerhet og infrastruktur
 Har ansvaret for drift av systemer i henhold til teknisk sikkerhet
 Skal i tett samarbeid med IT-sikkerhetsansvarlig utarbeide retningslinjer for informasjonssikkerhet og
beredskapsplaner
 Initierer statusmøter for systemansvarlige
Informasjonssikkerhetsansvarlig
 Har ansvaret for at rutiner for håndtering av personvern/datasikkerhet blir fulgt opp og egenkontroll
gjennomføres
 Planlegge og organisere informasjonssikkerhetsarbeidet
 Skal utarbeide retningslinjer for informasjonssikkerhet i tråd med lovverket
Systemansvarlig
 Hvert dataprogram/ fagapplikasjon har en systemansvarlig (eget vedlegg for hver kommune) som:
 Skal påse at opplæringstilbudet og dokumentasjon er tilfredsstillende
 Ansvarlig for kvaliteten på de informasjoner som behandles av systemet
 Ansvarlig for at systemet følger de lover og forskrifter som gjelder for fagområdet
 Bestemme sammen med avdelingssjef hvilke rettigheter den enkelte person skal ha
Ansatte
 Skal overholde og etterleve vedtatte instrukser og bestemmelser om sikring av
 informasjon
 Forstå konsekvensene ved eventuell brudd på sikkerhetsbestemmelsene
 Eventuelle sikkerhetsbrudd skal rapporteres i EQS
2.2 Sikkerhetsorganisasjon
Internkontroll gjennomføres i tråd med vedtatte rutiner. Rutiner for avviksmelding og
håndtering av disse skal innarbeides i kommunens overordnede kvalitetssystem EQS.
3
SIKKERHETSMÅL
Det er fastsatt følgende mål for informasjonssikkerhet:
Kommunens innbyggere skal være trygge for at kommunes ansatte til enhver tid
håndterer taushetsbelagte opplysninger på en forsvarlig måte.
Kommunens ledelse skal gi de ansatte god opplæring i personvern og hvordan
man behandler temaet i hverdagen.
Ved elektronisk behandling av personopplysninger skal opplysningene sikres tilstrekkelig:
•
•
•
4
slik at opplysningene ikke blir kjent for uvedkommende, (konfidensialitet),
slik at ansatte kan utføre pålagte oppgaver, (tilgjengelighet)
slik at opplysningene ikke utilsiktet eller tilsiktet endres ved behandlingen, (integritet)
SIKKERHETSSTRATEGI OG RUTINER
4.1 Ledelse og ansatte
- alle ledere sørger for at kommunens datasikkerhet- og informasjonssikkerhetsrutiner og
bestemmelser etterleves innenfor sin enhet
- alle ledere sørger for at tilsatte, nyansatte, vikarer og sommervikarer får nødvendig
kjennskap til kommunens sikkerhetsrutiner og programvarer som benyttes
Alle tilsatte gis nødvendig opplæring i forhold til sikkerhet i sitt daglige virke og underskriver
taushetserklæring og databrukeravtale.
4.2 Oversikt over personopplysninger/personregister
Hver tjenesteenhet skal ha oversikt over sine personopplysninger/-register. Formålet,
lovhjemmel og omfanget må være avklart.
4.3 Risikovurdering
Det skal årlig i sikkerhetsmåneden oktober gjennomføres risiko- og sårbarhetsanalyser (ROS)–
kartlegging av uønskede hendelser og vurdering av konsekvensene hvis slike hendelser oppstår.
Vedlagt skjema-mal skal benyttes.
Risiko er et resultat sannsynligheten for og konsekvensene av uønskede hendelser. Sårbarhet
er et uttrykk for et systems evne til å fungere og oppnå sine mål når det utsettes for
påkjenninger. Slike vurderinger må i tillegg til årlig runde gjøres når det skjer større endringer i
enheten. Resultatet av ROS-analysen skal tas vare på, og kan ved forespørsel forelegges den
administrative ledelsen i kommunen.
4.4 Rutinebeskrivelser
Avdelingene/enhetene skal ha rutinebeskrivelser for alle sårbare rutiner inklusive håndtering av
taushetsbelagte opplysninger. Disse skal presenteres i EQS.
4.5 Egenkontroll
Internkontroll gjennomføres ved større endringer og minimum en gang pr år, da i
sikkerhetsmåneden oktober. Gjennom den sektorovergripende internkontrollen formidler
rådmannen sine forventninger til organisasjonen.
4.5
Fysisk sikkerhet
Kommunen skal:
-
I arkivplanen beskrive de fysiske områder av virksomheten og/eller hele bygninger som skal
beskyttes som følge av behandling av personopplysninger
Ha rutiner og tekniske tiltak for adgangskontroll til beskyttede områder
Følge opp med ettersyn og tekniske tiltak for å forhindre og redusere eventuelle skader ved
innbrudd, vanninntrengning og brann
Bruke låst skjerm på påslått pc når kontor forlates og stenging av pc ved dagens slutt
Ha låste kontor der det oppbevares sensitive data
5
TILTAK
-
5.1 Lederoppgaver
I kap 2.1 er det en gjennomgang av de viktigste oppgavene for lederne i kommunen:
Lederne skal blant annet sørge for at medarbeiderne undertegner
- taushetserklæring
- databrukeravtale
5.2 Ansattes oppgaver
Alle nytilsatte, vikarer skal ha nødvendig opplæring før de får bruke kommunens datautstyr.
Nytilsatte med behov for tilgang til servere får slik tilgang (passord etc.) av IKT Inn-Trøndelag.
Når tilsatte slutter, skal IKT Inn-Trøndelag ha melding om dette slik at tilganger/passord etc.
slettes. Ved de ytre enheter vil enhetsleder ha tilsvarende ansvar.
Databrukeravtalen skal undertegnes av tilsatte og ledere. Alle tilsatte er forpliktet til å etterleve
vedtatte bestemmelser. Brudd på disse bestemmelsene kan få alvorlige konsekvenser for
tilsettingsforholdet i kommunen.
5.3 Behandling av personregister
Vedlegg 3 inneholder et skjema for personregister. Hver avdeling skal fylle ut vedlagte skjema
for å ha kontroll.
For hvert register skal det gis følgende opplysninger:
begrunnelse og lovhjemmel
klassifikasjon: personopplysninger, sensitive opplysninger
sikringstiltak
lagringssted fysikk eller data
registerets omfang – antall personer i registeret
-
formålet med registeret
sletting av personopplysninger
5.4 Risikovurdering
I henhold til Datatilsynets "Veiledning om internkontroll og informasjonssikkerhet" skal
kommunene gjennomføre risiko- og sårbarhetsanalyse. Analysen skal gi en
beskrivelse/vurdering av hvilke uønskede hendelser og trusler som kan inntre på
tjenestestedet. I tillegg skal det beskrives hvilke tiltak som bør iverksettes for å redusere og
unngå nevnte hendelser.
Virksomheten må derfor fastlegge kriterier for akseptabel risiko det er forbundet med
behandlingen av personopplysninger.
Risikobegrepet rommer to størrelser; sannsynlighet for at noe skal skje, og hvilke konsekvenser
denne hendelsen kan få.
Innenfor hver enhet skal følgende analyser gjennomføres:
5.4.1
Type trussel
Ved vurdering av hvilke trusler informasjonssystemet er utsatt for kan det være en fordel å
besvare følgende spørsmål:

Hvilke trusler eksisterer som kan gjøre at informasjon tilflyter personer
som ikke skulle hatt tilgang til den?
 Hvilke trusler eksisterer som kan gjøre at informasjon forsvinner, endre
eller feilregistreres?
 Hvilke trusler eksisterer som kan gjøre at informasjon blir utilgjengelig
for kortere eller lengre tidsrom?
Ved vurdering av frekvens tas det utgangspunkt i følgende klassifiseringer:
5.4.2
Sannsynlighet (hyppighet):
Angir hvor ofte trusselen kan inntreffe:
Svært sjelden:
Sjelden:
Ofte:
Svært ofte:
5.4.3
Ca. 1 pr. 5. år
Ca.1 pr. år
Ca. 1 pr. måned
Flere ganger pr. måned
Konsekvens
Ved vurdering av konsekvenser skal en sette opp hva slags følger trusselen kan ha om den
skulle inntreffe. Sammen med en beskrivelse av konsekvensene skal den graderes etter hvor
alvorlig den ansees å være:
Konsekvenser: Liten - Moderat – Stor – Katastrofal
Vedlegg 4 inneholder et skjema for utfylling og gjennomgang av en risikovurdering.
5.4.4
Tiltak
For hver trussel skal det beskrives hvilke tiltak som er nødvendig for å redusere eller unngå
de uønskede hendelsene.
5.5 Rutiner/prosedyrer
Kommunen skal ha gode rutiner for alle oppgavene innen informasjonsvirksomheten. Av
aktuelle rutiner kan nevnes (lista er ikke uttømmende):
- opplæring/veiledning av nytilsatte
- kompetansekontroll av tilsatte
- skjerming av sensitive opplysninger, personlige data og andre saker unntatt offentlighet
f.eks:
-
rutiner for postmottak
rutiner for outlookbruk
rutiner for at pasient/klient/kardex ikke er tilgjengelig for uvedkommende
rutiner for karakterprotokoller
rutiner for rapporter om ekstra oppfølging av barn i barnehage
rutiner for avviksmeldinger
rutine for årlig risikovurdering
rutiner for sletting av personopplysninger
rutiner for innsyn
Hver enhets rutinebeskrivelser legges inn i EQS.
6
TEKNISKE FORHOLD
I Datatilsynets veileder skal kommunen ha tilfredsstillende opplegg og rutiner for teknisk
informasjonssikkerhet.
Kort beskrevet skal følgende hovedtiltak gjennomføres:
Områder hvor sensitiv informasjon behandles, skal sikres mot uautorisert tilgang og innsyn.
Servere og kommunikasjonsutstyr skal stå i sikrede rom.
Systemteknisk sikkerhet omhandler krav til maskinvare, kommunikasjonsenheter,
programvare og hvordan disse samhandler. Det skal forefinnes konfigurasjonsskisse som
også beskriver soneinndeling, tilgangskontroll. Videre skal det forefinnes rutiner backup
rutiner etc.
7 MELDINGER TIL DATATILSYNET
7.1 Oppgaver for kommunen:
Kommunene har en rekke plikter etter personopplysnings- og helseregisterloven; konsesjonsog meldeplikt for behandling av personopplysninger.
Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysninger. Meldeplikten
gjelder for elektronisk behandling av ikke-sensitive personopplysninger, samt manuell
behandling av sensitive personopplysninger. Kommunene har unntak fra konsesjonsplikt for
behandlinger av personopplysninger som har hjemmel i egen lov. Når behandlingen er unntatt
konsesjonsplikt, skal den meldes til Datatilsynet i stedet.
For informasjon om dette:
http://www.datatilsynet.no/Sektor/Kommune-stat/Kommuners-konsejons--og-meldeplikt/
Meldingsskjema:
http://www.datatilsynet.no/Global/personvernombud/Skjema%20_maler/Meldeskjema_pvo_
bm.pdf
7.1.1 Meldeplikt
Den behandlingsansvarlige (avdelingssjef/ stabssjef) skal gi melding til Datatilsynet før:
a) behandling av personopplysninger med elektroniske hjelpemidler
b) opprettelse av manuelt personregister som inneholder sensitive
personopplysninger
Disse virksomheter har meldeplikt i stedet for konsesjonsplikt:
Barnevern, sosialtjenesten, rusmiddeletaten, PP-tjenesten, kommunehelsetjenesten (journal og
pasientadministrasjon; jfr helsepersonelloven §26), pleie- og omsorgsinstitusjonene. Dette
forutsetter at registrene behandles innenfor rammen av særlovene.
7.1.2 Konsesjonsplikt
Behandling av sensitive personopplysninger der behandlingen ikke er hjemlet i egen lov eller
forskrift. ( De registre som følger egen lov er det meldeplikt).
Noen få behandlinger vil fortsatt ha konsesjonsplikt. Dette gjelder elektronisk behandling av
sensitive personopplysninger der behandlingen ikke er hjemlet i lov; blant annet:
Forskningsprosjekter som ikke er omfattet av unntaket fra konsesjonsplikt i
personopplysningsforskriften § 7-27
 De fleste tverrsektorielle tiltak der bruken av personopplysninger ikke er dekket av egen lov
eller forskrift
 Kommunale helseregistre på individnivå for planlegging, informasjon og samordning vil være
konsesjonspliktige etter helseregisterloven så sant de ikke må ha egen forskrift som lokalt
helseregister (Helseregisterloven § 7).

Datasikkerhetsansvarlig koordinerer meldingene/søknadene til Datatilsynet. Avdelingssjef har
ansvaret for å utarbeide registre/søknader for sin avdeling.
7.1.3 Unntak fra konsesjons- og meldeplikt
Unntakene:
- barnehager, skolefritidsordninger
- personellregistre
- For planlegging, informasjon og samordning av helsetjenester ved bruk av statistisk
materiale (anonymt).
8
EGENKONTROLL
Formålet med egen kontroll er å sikre at kommunens sikkerhetsmål, strategi og rutiner
etterleves i hele virksomheten. På sikt vil egenkontrollen danne grunnlag for vurderingene av
fastsatte sikkerhetsmål etc.
Ved gjennomføring av kontrollen skal bl.a følgende elementer gjennomgås:
-
ansvars- og myndighetsforhold (i samsvar med virkeligheten)
sikkerhetstiltak, herunder utprøving av tekniske sikkerhetsløsninger
gjennomgang av risikovurderinger og eventuelle nye tiltak
gjennomgang av eventuelle avvik
gjennomgang av rutiner
Vedlegg
Vedlegg 1: Definisjoner
Vedlegg 2: Oversikt over fagapplikasjoner og systemansvarlige
Vedlegg 3: Skjema for det enkelte tjenestesteds personregister
Vedlegg 4: ROS-analyse-skjema
Vedlegg 5: IKT reglement
Vedlegg 6: Databrukeravtale
Vedlegg 7:Taushetserklæring
Vedlegg 1 - Definisjoner
Personopplysningsloven gir følgende førende definisjoner:
1. Personopplysning:
Opplysninger og vurderinger som kan knyttes til en
enkeltperson. For eksempel navn, fødselsnummer, e-post
og avidentifiserte opplysninger (se dette begrepet forklart
uttrykk og begreper brukt).
2. Behandling av personopplysninger:
Enhver bruk av personopplysninger, som for eksempel
innsamling, registrering, sammenstilling, lagring og
utlevering eller en kombinasjon av slike bruksområder.
3. Personregister:
Registre, fortegnelser med videre der personopplysninger
er lagret systematisk slik at opplysninger om den enkelte
kan finnes igjen.
4. Behandlingsansvarlig:
Den som bestemmer formålet med behandlingen av
personopplysninger og hvilke hjelpemidler som skal bruke
i behandlingen.
5. Databehandler:
Den som behandler personopplysninger på vegne av den
behandlingsansvarlige. En databehandler er en ekstern
person eller virksomhet som befinner seg utenfor den
behandlingsansvarliges virksomhet.
6. Registrert:
Den enkeltperson en personopplysning kan knyttes til.
7. Samtykke:
En frivillig, uttrykkelig og informert erklæring fra den
registrerte om at han eller hun godtar behandling av
opplysninger om seg selv.
8. Sensitive personopplysninger:
Opplysninger om: a) rasemessig eller etnisk bakgrunn, elle
politisk, filosofisk eller religiøs oppfatning b) at en person
har vært mistenkt, siktet, tiltalt eller dømt for en straffbar
handling c) helseforhold
d) seksuelle forhold
e) medlemskap i fagforeninger
9. Fødselsnummer (11 siffer):
Fødselsnummer er en unik identifikator som har en særlig
bestemmelse om nødvendig bruk i personopplysningslove
§ 12. Det skal kun brukes der det er saklig behov for sikker
identifisering og metoden er nødvendig for slik
identifisering. I tillegg er det en særbestemmelse om
kryptering ved elektronisk kommunikasjon i
personopplysningsforskriften § 10-2.
10. Akseptkriterier:
Fastlegging av kriterier for akseptabel risiko forbundet me
behandling av personopplysninger, jf.
Personopplysningsforskriften § 2-4 første ledd og § 2-2.
11. Avvik:
Med avvik menes enhver håndtering av personopplysning
som ikke utføres i henhold til gjeldende regelverk,
retningslinjer og/eller prosedyrer, samt andre
sikkerhetsbrudd. Avvik meldes Datatilsynet i henhold til
personopplysningsforskriften § 2-6.
12. Konfidensialitet:
Konfidensialitet betyr at personopplysninger må være
sikret mot at uvedkommende får kjennskap til
opplysningene.
13. Integritet:
Med integritet menes at personopplysninger må være
sikret mot utilsiktet eller uautorisert endring eller sletting.
14. Tilgjengelighet:
Tilgjengelighet betyr at personopplysninger som skal
behandles, er tilgjengelig til den tid og på det sted det er
behov for opplysningene.
15. Internkontroll:
Med internkontroll menes planlagte, systematiske og
dokumenterte tiltak som skal sikre at personopplysninger
blir behandlet i samsvar med personopplysningsloven med
forskrift.
Vedlegg 2: - Fagapplikasjoner
NAVN PÅ PROGRAMVARE
LEVERANDØR
LUKKET NETT
Profil
Velferd
HsPro
PPI
Flyktning
Acos Barnevern
Visma
Visma
Visma
Visma
Visma
Acos
ÅPENT NETT
Agresso
Ephorte
Capitech
ISY ProAktiv
ISY ProAktiv - GPS Import
Gisline / Gisline Arealpl.
Rosy
Front Parkering
Kulturskole
Trio Present
WinTid / MinTid
VPRO
Norkart
OFM
Time
VAR
InfoLand
GeoWeb
KK Idretssanlegg
SD-Anlegg
EM Portal
RenPlan
SiPass (Adg.kontr.++)
ScanVekt
Gemini VA
Mofut
InfoSys
Feierregisteret
DBE FøreVar
Bibliofil
Ekasys
EQS
CIM
WinMed
Oppad
Ergo
Ergo
Capitech
NorConsult
NorConsult
Norkart
Grontmij A/S Transportation & Mobility
Front Systemer
Visma
Trio
Syncronos / Logica
Brødr. Strand Ing.firma AS
Norkart Geoservice
Norsk Eiend.Informasjon
Geomatikk
Kulturdepartementet
Johnson Controls
Siemens
Scanvaegt Norge
SYSTEMANSV. / LEDER (Registereier)
Marit Iversen
Randi Teigen Myrstad
Vedlegg 3: - Personregistre (som skal fylles ut av den enkelte tjenesteenhet)
Enhet:………………………..
SikringsTiltak
Lagring og
kommunikasjon
Omfang
Meldeplikt
Konsesjonsplikt
Hjemmel
Sensitiv
Konfidensielt
Offentlig
Register
- navn
Formål
Vedlegg 4: - Eksempel på en Ros – Analyse:
Trussel
Sannsynlighet/
hyppighet
Letthet
Årsak
Konsekvens
Stor. En risikerer at
sensitive
personopplysninger
om en eller flere
kommer ut og truer
klientenes personvern
Svært ofte
Maskiner blir stående pålogget uten
skjermbeskytter med
passordbeskyttelse mens ikke –
autoriserte ansatte utfører arbeid
uten at autoriserte ansatte er til
stede. Ikke-autoriserte ansatte med
nøkkel skaffer seg tilgang selv om
kontoret er låst
Utilsiktet utlevering f eks e-post
Skjermbildet lett synlig for besøkende
Sjelden/
vanskelig
Sammenbrudd i online lagringssystem. Brann
Ikke – autoriserte
Svært ofte/Lett
ansatte,
uvedkommende kan
få adgang til sensitive
og personopplysninger samt
saker unntatt
offentlighet
Besøkende kan få
tilgang til sensitive
opplysninger
(Aktiv eller passiv
utlevering)
Tap av klientdata
Andre trusler:
1
2
3
Tiltak
Bevisstgjøring av
de ansatte omkring
nødvendigheten av
benytte skjermsparer med passord
når de forlater
kontoret. Evt. kreve
avlogging før man
forlater kontoret
Stor. En risikerer at
Prøve å sørge for at
sensitive
skjermen ikke er
personopplysninger om synlig for besøkende
en eller flere kommer Gå ut av dataut og truer klientenes programmet når
personvern
man har besøk og
når man forlater
kontoret.
Katastrofal
?
Vedlegg 5: IKT reglement
Databrukeravtale for kommunene Inderøy,
Verran og Steinkjer
Denne avtalen regulerer den enkelte ansattes ansvar og plikter ved bruk av arbeidsgiverens og InnTrøndelag IKT sine IT-tjenester bestående av maskinvare, programvare, fagapplikasjoner, nettverk og
data.
Avtalen ses i sammenheng med IKT-reglementet, informasjonssikkerhetshåndboka og gjeldende
regelverk for behandling av personopplysninger.
Leder
Min underskrift på dette dokumentet bekrefter at jeg som leder har ansvaret for at informasjon om
gjeldende regelverk er formidlet og at nødvendig opplæring er gitt.
(dato og år):
leder:
Medarbeider
Min underskrift på dette dokumentet bekrefter at jeg er gjort kjent med og har forstått IKTreglementet og er kjent med gjeldende regelverk ved behandling av personopplysninger. Jeg
forplikter meg til å følge det som til enhver tid er gjeldende IKT-reglement og aksepterer at
overtredelse vil kunne medføre sanksjoner fastsatt av arbeidsgiver.
(dato og år):
medarbeider:
Vedlegg 6: Databrukeravttale
IKT-reglement
nt
Felles datanettt for kommunene Ind
Inderøy,
Verran og Stein
einkjer
Inn-Trøndelag IKT Brukerstøtte:
Tlf: 74 16 93 33 [email protected]
9 Innhold
1.
Innledning...................................................................................................................................... 18
2.
Virkeområde.................................................................................................................................. 18
3.
Definisjoner ................................................................................................................................... 18
4.
Informasjonssikkerhet................................................................................................................... 18
5.
Akseptabel bruk av IT-ressurser .................................................................................................... 19
6.
Brukerens rettigheter.................................................................................................................... 19
7.
Inngrep og sanksjoner ................................................................................................................... 19
8.
Brukerkonto og passord ................................................................................................................ 19
9.
Epost.............................................................................................................................................. 20
10.
Lagring ....................................................................................................................................... 21
11.
Innsyn og overvåking................................................................................................................. 21
12.
Avslutning av ansettelsesforhold .............................................................................................. 21
1. Innledning
1.1
Dette dokumentet regulerer ansvar, plikter og rettigheter for alle som benytter IT-ressurser
tilknyttet kommunene Inderøy, Verran og Steinkjer. IKT-reglementet skal bidra til å hindre
uønsket bruk av de IT-ressursene det omfatter og til å styrke informasjonssikkerheten i
kommunene. Alle brukere med tilgang til IT-ressursene skal gjennom å signere en
databrukeravtale bekrefte at de har lest og forstått innholdet i dette reglementet.
2. Virkeområde
2.1
IT-ressursene består av alle fysiske komponenter (nettverk bestående av kabling,
nettverkselektronikk og datamaskiner), programvare, og andre IT-baserte ressurser anskaffet
av, eller som disponeres av kommunene. IT-ressursene inkluderer også tilgang og bruk av
internett og epost.
3. Definisjoner
3.1
Bruker: Personer som har tilgang til kommunenes IT-ressurser.
3.2
Brukerkonto: En brukers definerte tilgang til IT-ressurser som datamaskiner, nettverk,
fagapplikasjoner m.m.
3.3
Brukernavn: En unik symbolsk betegnelse som identifiserer en bruker/brukerkonto med
tilgang til en IT-ressurs.
3.4
Passord: En sekvens av tegn som sammen med tilhørende brukernavn gir en autorisert bruker
tilgang til en IT-ressurs.
3.5
Driftsansvarlig: Personer som er ansvarlig for driften av maskinvare, programvare eller
nettverk.
4. Informasjonssikkerhet
4.1
Informasjonssikkerhet er tiltak og mekanismer for å ivareta konfidensialitet, tilgjengelighet og
integritet for informasjon og systemer som behandler disse. Alle brukere plikter å sette seg inn i
lover, regelverk og retningslinjer som har som formål å ivareta informasjonssikkerheten i deres
daglige virke.
4.2
Brukere av IT-ressursene skal bidra til å opprettholde sikkerhetsnivået, for eksempel ved å
forhindre uautorisert tilgang til IT-ressurser, forhindre krenking av personlig informasjon og
være oppmerksom på trusler som skadelig programvare. Alle har et ansvar for
informasjonssikkerheten.
4.3
Ved mistanker om hendelser som truer informasjonssikkerheten skal brukeren rapportere
dette til leder eller Inn-Trøndelag IKT.
5. Akseptabel bruk av IT-ressurser
5.1
Bruk av kommunenes IT-ressurser skal være forenelig med institusjonenes formål. Det er ikke
tillatt å bruke IT-ressurser til et formål som strider mot etiske og moralske normer eller som er
i konflikt med norsk lov.
5.2
Det er ikke tillatt å bruke IT-ressurser på en måte som opptar unødvendig stor kapasitet. Det
skal ikke installeres eller brukes programvare eller maskinvare som har et destruktivt
bruksområde eller som legger beslag på unødige ressurser.
5.3
Maskinvare som ikke er godkjent og avklart med Inn-Trøndelag IKT skal ikke installeres eller tas i
bruk som en del av datanettet. Dette gjelder både datamaskiner, nettverkskomponenter og
andre perifere enheter.
5.4
Handlinger for å omgå sikkerhetsinnstillinger og mekanismer rundt dette er under ingen
omstendigheter tillatt.
5.5
Vis nett-vett: http://www.nettvett.no/
6. Brukerens rettigheter
6.1
Kommunene skal sette klare retningslinjer for bruk av IT-ressurser. Inn-Trøndelag IKT har
utarbeidet IKT-reglementet for bruk av IT-ressurser og disse skal gjøres tilgjengelige i
oppdatert versjon for alle brukere til enhver tid.
6.2
Brukere har krav på at deres personvern ikke blir krenket på noe vis gjennom deres tilgang til
IT-ressursene. Det skal ikke utleveres opplysninger om brukere eller data tilhørende brukere
der dette ikke er nødvendig som følge av vedtatte reglement eller norsk lov.
7. Inngrep og sanksjoner
7.1
Brudd på IKT-reglementet kan føre til sanksjoner fastsatt av kommunen brukeren er ansatt i.
Forhold som vurderes som brudd på norsk lov vil bli politianmeldt.
7.2
Inn-Trøndelag IKT kan ved mistanke om brudd på IKT-reglementet eller andre årsaker som truer
systemets integritet og funksjonalitet, gjøre nødvendige grep for å gjenopprette normal drift.
Dette kan innebære stenging av brukerkontoer, maskinkontoer eller andre tiltak som kan føre
til stopp i brukerens tilganger. Slike inngrep skal varsles brukeren så snart det er praktisk mulig.
8. Brukerkonto og passord
8.1
En brukerkonto er strengt personlig og skal ikke brukes av andre enn den personen den er
tilknyttet, dette gjelder også tiltrodde personer som kolleger og familiemedlemmer. Det er
ikke tillatt å utgi seg for å være en annen bruker ved bruk av IT-ressurser.
8.2
Et passord skal holdes hemmelig og ikke oppbevares slik at andre kan lære det, for eksempel
nedskrevet på en lapp. Ved mistanke om at passordet er kjent for andre skal det endres
umiddelbart.
8.3
I tilfeller der det eksisterer systembrukere hvor flere personer har kjennskap til brukernavn og
passord, plikter de som har denne tilgangen å påse at ingen uautoriserte personer får
kjennskap til passordet.
8.4
Det er viktig at passord ikke gjenbrukes, for eksempel at brukeren har samme passord i
kommunens systemer som i andre tjenester.
8.5
Ved glemt passord, mistanke om at passord er på avveie eller andre påloggingsproblemer, ta
kontakt med Inn-Trøndelag IKT sin helpdesk: https://helpdesk.ikt-inntrondelag.no/
8.6
Passordregime:
Passord skal endres hver 6.mnd
Passordet må oppfylle følgende krav til syntaks:
o Være minst 8 tegn
o Inneholde små bokstaver (a-z)
o Inneholde store bokstaver (A-Z)
o Inneholde tall (0-9) eller spesialtegn (. - _ + ! ? ( ) < > & ….)
Passordet må være forskjellig fra de siste tre passordene dine.
Passordet bør ikke inneholde ord eller navn som kan knyttes til brukeren, for eksempel navn
på familiemedlemmer, stedsnavn, titler, årstall etc.
-
-
9. Epost
9.1
Enhver som benytter eposttjenesten driftet av Inn-Trøndelag IKT skal utvise skjønn for
fornuftig bruk. Dette inkluderer blant annet å begrense privat bruk av epostkontoen, samt å
slette eposter som ikke lenger er aktuelle. Epostboksen er ikke et arkivsystem.
9.2
Epost anses ikke som et verktøy for sikker kommunikasjon med mindre den er kryptert.
Sensitive personopplysninger skal derfor ikke forekomme i epost. Meldinger som inneholder
sensitive opplysninger skal ikke sendes eller distribueres videre hvis den mottas
9.3
Ved mistanke om at epost inneholder skadelig programvare eller forsøk på svindel, skal
eposten slettes umiddelbart. Linker eller vedlegg må ikke åpnes hvis avsenderen eller
meldingen ikke kan tolkes som en seriøs henvendelse.
9.4
Det er ikke tillatt til å starte eller videresende kjedebrev.
9.5
Det må utvises varsomhet når epostadresser legges igjen på nettsider og registreringsskjema.
Dette er for å forebygge at epostadressen blir inkludert i lister som brukes for spam.
9.6
Ved utsending av epost til mange mottakere som ikke er en distribusjonsliste, skal mottakere
legges inn i feltet for blind-kopi. Dette er for å hindre uønsket spredning av epostadresser.
10. Lagring
10.1 Områder på filservere som er tilgjengelig for brukere skal kun brukes for tjenstlige formål.
Dette gjelder også de private lagringsområdene (Q:). Det skal ikke forekomme private filer som
bilder, applikasjoner eller multimediefiler (filmer, musikk, spill) på disse filområdene.
10.2 Lagring og sikkerhetskopiering er en begrenset ressurs, og filer som ikke lenger er aktuelle skal
slettes.
10.3 Det er ikke tillatt å benytte private kontoer for skytjenester i tjenstlig formål eller
synkronisering mellom kommunenes IT-ressurser og slike tjenester. Eksempler på disse er
Dropbox, OneDrive og Jottacloud.
10.4 Informasjon som inneholder personopplysninger skal ikke lagres på eksterne lagringsmedier
som eksterne harddisker eller minnepinner.
11. Innsyn og overvåking
11.1 Brukere kan selv gi ledere og andre ansatte innsyn i epost og filområder ved behov, for
eksempel ved sykdom eller permisjon.
11.2 Beslutning om innsyn tas av leder ved vedkommende enhet eller IT-leder.
11.3 Det kan tas beslutning om innsyn i epostkasse eller filområde hvis det er behov for å ivareta
daglig drift, kommunens ansvar eller omdømme.
11.4 Det kan tas beslutning om innsyn hvis det er mistanke om at epostkasse eller filområde
inneholder materiale som er i strid med norsk lov eller ved brudd på bestemmelsene i IKTreglementet.
11.5 Brukeren skal varsles om innsynet på forhånd og få mulighet til å være tilstede hvis dette er
praktisk og tidsmessig mulig og det ikke er fare for bevisødeleggelser.
11.6 Tiltak for innsyn skal dokumenteres i en rapport.
11.7 Inn-Trøndelag IKT benytter systemverktøy som overvåker IT-ressurser, og informasjon og
logger fra disse brukes til driftsformål.
11.8 IKT-driftsansvarlige har taushetsplikt med hensyn til informasjon om brukeren og brukerens
virksomhet som den IKT-driftsansvarlige får på denne måten.
12. Avslutning av ansettelsesforhold
12.1 Når et ansettelsesforhold avsluttes skal brukeren rydde i epostkasse og personlige filområder.
Brukeren har selv ansvar for å ta vare på og videreformidle informasjon som skal bevares til
rett person eller saksbehandlingssystem.
12.2 Epostkasse og personlig filområde vil bli bevart i 3 måneder etter endt ansettelsesforhold.
Deretter vil informasjonen bli slettet.
12.3 Brukerkontoer til ansatte som slutter vil bli sperret når ansettelsesforholdet avsluttes.
12.4 Ved dødsfall vil epostkasse og personlig filområde bli slettet, med mindre det er sannsynlig at
politiet vil ønske innsyn i opplysningene. Før sletting finner sted kan det foretas innsyn for å
sortere ut virksomhetsrelatert e-post og filer i tråd med rutine for dette.
Vedlegg 7 - Taushetserklæring
Det vises til forvaltningslovens § 13 (taushetsplikt):
Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre
får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om:
1.
2.
noens personlige forhold, eller
tekniske innretninger og fremgangsmåter samt drifts- eller
forretningsforhold som det vil være av konkurransemessig betydning å
hemmeligholde av hensyn til den som opplysningen angår.
Som personlige forhold regnes ikke fødested, fødselsdato og personnummer,
statsborgerskap, sivilstand, yrke, bopel og adresse, med mindre slike opplysninger røper et
klientforhold eller andre forhold som må anses som personlige. Kongen kan ellers gi
nærmere forskrifter om hvilke opplysninger som skal reknes som personlige, om hvilke
organer som kan gi privatpersoner opplysninger som nevnt i punktumet foran og
opplysninger om den enkeltes personlige status for øvrig, samt om vilkårene for å gi slike
opplysninger.
Taushetsplikten gjelder også etter at vedkommende har avsluttet tjenesten eller arbeidet.
Han kan heller ikke utnytte opplysninger som nevnt i denne paragraf i egen virksomhet eller i
tjeneste eller arbeid for andre.
I tillegg gjelder taushetsplikt i henhold til alle særlover.
Erklæring:
Jeg,
født
bekrefter at jeg i mitt arbeide overfor Steinkjer kommune vil respektere den taushetsplikt
som følger av Forvaltningslovens § 13 og særlover m.v., og ikke bringe videre opplysninger
om noe forhold som strider mot nevnte bestemmelser.
Steinkjer den
Sak 03/15 Årsmelding og regnskap 2014
Forslag til vedtak:
Årsmelding og regnskap for 2014 godkjennes.
Vedtak:
Årsmelding og regnskap for 2014 godkjennes. Det forutsettes at det innarbeides en status for
investering 2015. i årsmeldinga
Saksfremstilling:
Det vises til vedlagte årsmelding. Regnskapskommentarene fremgår i årsmeldingen.
Årsmelding 2014 for IKT Inn-Trøndelag
IKT Inntrøndelag ble vedtatt etablert fra 01.01.13 i alle tre kommunestyrene i InnTrøndelagsamarbeidet.
En avtale vedtatt i alle tre kommunestyrene i Verran, Inderøy og Steinkjer ligger til grunn for
samarbeidet. (vedlegg 2)
IKT Inn-Trøndelag har etter vedtak av revidert budsjett i juni 2014 hatt 8 årsverk.
Sykefraværsprosent i 2014: kortidsfravær 1,5% og langtidsfravær 8,9%
Det ble i 2014 gjennomført en intern organisasjonsutviklingsprosess.
Gjennom den vedtatte avtalen er Steinkjer som vertskommune forplikt til å utføre følgende
serviceoppgaver på vegne av samarbeidskommunene:






Helpdesk med respons i løpet av 2 timer og med skissert løsning på hendelsen samme
virkedag som innrapportering. Helpdesk vil samme virkedag overføre oppgaver den
selv ikke kan behandle til IKTs andrelinje.
IKTs andrelinje som reiser ut på bestilte oppdrag fra helpdesk ut fra
helpdeskansvarliges prioriteringer.
Andrelinje som består av egne ansatte med fordyping og innleid bistand utvikler og
tilpasser.
Tilstedeværelse på samtlige tre kommuners kommunestyremøter for streaming og
teknisk hjelp.
Systemdrift.
Bestilling, drifting, vedlikehold og utvikling av telefoniløsninger.
Samband/ infrastruktur.
Avtalen omfatter også tilrettelegging og utvikling.
Helpdesk/Brukerstøtte
Statistikk fra 01.01 – 31.12.2014 viser 4994 meldte saker til felles helpdesk. Dette utgjør ca 14
saker per kalenderdag gjennom året og et snitt på 416 per måned.
Det foreligger ikke statistikk som beskriver omfanget av saker der andrelinje er benyttet. 22%
av henvendelsene har kommet fra Inderøy kommune, 11% fra Verran kommune, 60% fra
Steinkjer kommune og 7% fra andre (KomRev IKS og Inntrøndelag Brannvesen IKS samt
leverandører).
Tilstedeværelse på kommunestyremøter
Tilstedeværelse er gjennomført der det har vært streaming og der politikere har lesebrett.
Styret vedtok 06.10.14 å legge felles lesebrettløsning inn i Inn-Trøndelag IKTs
investeringsbudsjett for 2015.
Systemdrift
Etter etablering av ny driftsplattform basert på en konvergert løsning i felles datasenter ved
årsskiftet 2013/2014 har driftsstabiliteten i tjenestene som leveres av Inn-Trøndelag IKT blitt
betydelig bedret. Dette sammen med etableringen av en ny og mer omfattende avtale om drift
og overvåkning har vært rettet som tiltak for å bedre en situasjon som i 2013 ikke var
tilfredsstillende. I 2014 har brukerne av løsningene som tidligere opplevd perioder med nedetid
på sine løsninger, men da har dette i hovedsak vært knyttet til planlagte oppgaver som
eksempelvis migrering til ny driftsplattform og utskiftning av hovedtavle for kraftforsyningen i
Steinkjer Rådhus. Driften omfatter ved utgangen av 2014 ca 160 servere.
Implementeringen av tjenestene i ny driftsavtale med Atea as startet umiddelbart etter
signering av avtale primo mars 2014. Etter opprinnelig plan skulle dette være fullført etter
prøveperiode med akseptansetest medio juli. Prosjektet støtte på utfordringer som medførte
en utvidet prøveperiode frem til medio september. Den nye avtalen omfatter overvåkning og
drift av hele serverporteføljen til kommunesamarbeidet, overvåkning av kritisk
nettverksinfrastruktur, og telefoni. I tillegg er det en responsavtale knyttet til avtalen for avrop
av teknisk bistand til driftsoppgaver.
Det har i liten grad vært gjennomført kompetansehevingstiltak i enheten i 2014. Det har vært
deltakelse i noen leverandørarrangementer med henblikk på å bli kjent med nye tjenester og
produkter.
Telefoniløsning
Det er under arbeid en oppgradering av telefonløsningen Trio.
Telefoni har i 2014 vært levert av Ventelo gjennom felles avtale for MidtTrøndelagskommunene. Ventelo ble ved utgangen av 2014 kjøpt opp av selskapet Phonero,
som i siste år for prolongering vil stå for leveranse på avtalen. Med henblikk på utgang av
avtalen og etablering av ny er det i 2014 igangsatt arbeid med en felles telefonistrategi for
Midt-Trøndelagskommunene.
Samband/infrastruktur
På grunn av permisjonsfravær for den interne fagansvarlige for nettverk var det i første halvår
2014 få nye tiltak på samband/infrastruktur. Enheten støttet seg i denne perioden på kjøp av
driftstjenester på om rådet ved behov.
Hovedfokus i siste halvår har vært arbeidet med utskiftning av kjernesvitsj for felles
infrastruktur. Dette er et omfattende arbeid som i tillegg til utskiftning og konfigurering av ny
maskinvare også omfatter omlegging av intern kabling mellom tekniske rom knyttet til
datasenteret. Det innebærer også en revisjon av den konfigurasjon som har bygd seg opp i
eksisterende løsning gjennom daglig drift i en periode på over ti år. Arbeidet skal ferdigstilles
før påske 2015.
I 2013 ble det gjennomført en standardisering av teknisk plattform for trådløse nett i
kommunesamarbeidet. I 2014 er dette arbeidet tatt videre ved at det er utviklet en løsning for
autentisering av brukere i våre trådløse nett. Løsningen muliggjør identifisering av alle brukere
av trådløs-tjenestene og bidrar til en bedre plattform for utnyttelse av trådløs tilgang som
ressurs.
Tilrettelegging og utvikling
Inn-Trøndelag IKT gjennomførte ved inngangen til 2014 en omfattende utskiftning av
driftsplattform i felles datasenter. Bakgrunnen for dette var en betydelig mengde driftsvansker
knyttet til forrige generasjons maskinvare i datasenteret i 2013. I tilknytning til denne
utskiftningen er det også gjennomført et løft på maskinplattform i lokale datasentra i Verran og
Inderøy.
Som ved tidligere år har Inn-Trøndelag IKT også i 2014 vært involvert i planlegging av el-/teleog data-fasilitering i nye bygg. I 2014 har dette i hovedsak dreid seg om nye barnehager i
Steinkjer og det nye Inderøy oppvekst og kultursenter som blir tatt i bruk høsten 2015.
Fase 2 av delprosjektet «Meldingsutveksling i Nord-Trøndelag» (MUNT) ble avsluttet for
Inntrøndelagskommunene i andre kvartal 2014. Forberedelsene til fase 3 av samme prosjekt
ble igangsatt ved utgangen av året.
I 2014 ble det gjennomført en outsourcing av driften av økonomisystemet Agresso. Bakgrunnen
for dette var en helhetlig vurdering av driftsoppgavene knyttet til applikasjonen og et behov for
stor fleksibilitet i planlagte fremtidige utviklingstiltak på dette systemet.
Det har i hele 2014 pågått et arbeid med tilrettelegging for felles ELEV-nett for de 3
kommunene innen samarbeidet (Inderøy, Verran og Steinkjer). Dette arbeidet er delt inn i fire
prosjekter; Infrastruktur, Active Directory, Tanking av maskiner og Skoleportal. Steinkjer
kommune er direkte involvert i alle de fire prosjektene. Både med avtalegrunnlag og teknisk
tilrettelegging er det forberedt for at Verran og Inderøy kan ta ut løsninger helt eller delvis på
lik linje med Steinkjer.
Arbeid med organisering
Inn-Trøndelag IKT har gjennom 2014 jobbet kontinuerlig med å tilpasse sin interne organisering
med mål om å utnytte personalressursene og å tilpasse kompetansen til kommunenes behov.
Enheten har gjennomført fire workshops for arbeid med egen organisering gjennom dette året.
Tema som har vært berørt er arbeidsmiljø, ledelse, prosjektstyring, helpdesk, driftsrutiner og
fagapplikasjonsansvar. I tillegg har organisering gjentatte ganger vært tema under enhetens
ukentlige driftsstatusmøter.
Administrativt styre
Det har vært avholdt 4 møter i administrativt styre for Inn-Trøndelag IKT i 2014, og 17 saker er
behandlet.
Sakene som er behandlet er:
 Godkjenning av regnskap 2013
 IKT status pr 01.02.14
 IKT investeringer 2014. Forslag til nytt investeringsbudsjett på fellesområdet IKT Inn Trøndelag.
 Handlingsplan IKT Inn-Trøndelag 2014 basert på vedtatt strategi
 Utviklingsavtale mellom IKT avdelingen i Nord-Trøndelag fylkeskommune og IKT Inn Trøndelag
 Revisjon av samarbeidsavtale
 Regnskapsrapport
 Budsjettrevisjon 2014 budsjett
 Regnskapsrapport pr august 2014
 Handlingsplan 2014
 Omdisponering av investeringsmidler
 Budsjett 2015
 Investeringsbudsjett 2015
 Databehandleravtale med Inderøy og Verran
 Informasjons- og datasikkerhet – felles styringsdokumenter i Inn-Trøndelagsamarbeidet
 Utredning – Snåsa kommune – eventuelt inn som deltager i IKT Inn-Trøndelag
 Databehandleravtale med Inderøy og Verran
 Informasjons- og datasikkerhet – felles styringsdokumenter i Inn-Trøndelagsamarbeidet
 Status lisensportefølje for Inn-Trøndelag per 1.10.2014
Kommentarer til regnskapet for 2014
Regnskapet for Inn-Trøndelag IKT for 2014 gjenspeiler et mindreforbruk på 942 222,- i forhold
til revidert budsjett. Hovedtrekkene som ligger til grunn for denne kostnadsreduksjonen er:
Lavere kostnad telefoni: Det er grunn til å tro at bruksmønsteret knyttet til telefoni beveger seg
i retning av økende bruk av mobil telefoni og synkende bruk av faste linjer. Dette blir
utslagsgivende for Inn-Trøndelag IKT sitt driftsregnskap som dekker fasttelefoni for
kommunene.
Lavere kostnad Radio/samband linjeleie: Det er gjort noen justeringer på sambandsløsninger ut
til lokasjoner i 2014. Dette har resultert i en mindre reduksjon i kostnad.
Lavere kostnad Møte/kurs-utgifter eksterne: Inn-Trøndelag IKT har i 2014 ikke gjennomført
kompetansehevingstiltak ut over deltakelse i leverandørarrangementer med en lav kostnad.
Lavere kostnad drift/service-avtaler it/data: Det ble tegnet ny avtale om kjøp av driftstjenester
knyttet til maskinvare, infrastruktur og programvare i 2014. Implementeringsfasen for denne
avtalen hadde halv kostnad av ordinær pris. På grunn av en utvidet periode med
implementering og akseptansetest gis det et utslag mindreforbruk i driftsregnskapet.
Lavere kostnad kjøp av konsulent-tjenester: Første halvår 2014 var fagansvarlig nettverksdrift i
Inn-Trøndelag IKT i permisjon. Det ble budsjettert for kjøp av tjenester nødvendig for å
kompensere dette fraværet. Behovet og leveransekapasiteten til leverandør resulterte en
lavere kostnad enn først antatt. Med henblikk på andre fagområder har en styrket intern
bemanning i enheten også bidratt til å holde denne kostnaden lavere enn budsjettert.
Investeringsregnskap for Inn-Trøndelag IKT 2014
1601 Felles IKT – Serverkapasitet: Regnskapsmessig er tiltaket sammenfallende med revidert
budsjett.
1602 Felles IKT – Core switch: Regnskapet viser et merforbruk på kr 101 109,- sett i forhold til
revidert budsjett. I sak 14/11 i administrativ styringsgruppe ble det vedtatt en omdisponering
av investeringsmidler som dekker inn merforbruket.
1603 Felles IKT – Backup offsite: Det er et lite mindreforbruk på dette prosjektet. Tiltaket
videreføres i 2015.02.24
1604 Felles IKT – Fjernnettløsning: Tiltaket har ikke løst ut kostnader i 2014. Mindreforbruket er
tilsvarende revidert budsjett, kr 100 000,-.
1605 Felles IKT – Servere og backup: Tiltaket er gjennomført og regnskap viser et
mindreforbruk på kr 50 000,- i forhold til revidert budsjett.
1606 Felles IKT – Telefoni: Tiltaket er påbegynt i 2014 og skal videreføres i 2015. Regnskap er
viser et mindreforbruk på kr 290 000,- i forhold til revidert budsjett.
1607 Felles IKT – Infrastruktur: Tiltaket ble i hovedsak gjennomført i 2013.
1608 Felles IKT – Virtualisering: Dette tiltaket falt bort som følge av utskiftning av maskinvare i
felles datasenter ved årsskiftet 2013/14. I sak 14/11 i administrativ styringsgruppe ble det
besluttet å omdisponere midlene til løsning for tanking av klienter. Regnskapet viste et
mindreforbruk kr 210 00,- i forhold til revidert budsjett ved årsskifte. Arbeidet videreføres i
2015 og vil pådra kostnader opp til finansieringsrammen.
1609 Felles IKT – Recovery site: Investeringene er gjennomført og regnskap er sammenfallende
med revidert budsjett. Tiltaket med fysisk etablering av recovery site videreføres i 2015.
1610 – Felles IKT – Livsløpsvedlikehold servere: Dette tiltaket falt bort som følge av utskiftning
av maskinvare i felles datasenter ved årsskiftet 2013/14. I sak 14/11 i administrativ
styringsgruppe ble det besluttet å omdisponere midlene til løsning for core switch.
1611 Felles IKT – Oppdatering fagapplikasjoner: Tiltaket er påbegynt og regnskap viser et
mindreforbruk på kr 259 000,- i forhold til revidert budsjett ved årsskifte. Tiltaket videreføres i
2015 med blant annet implementering av tjenesten SvarUT.
1612 – Felles IKT – Kjøling/brannsikring: Tiltaket er ikke gjennomført da planlagt tekniske
løsning ikke tilfredsstilte funksjonelle krav. Det blir gjennomført ny kartlegging og anskaffelse i
2015.
1613 Felles IKT – Lokal serverutvidelse: Tiltaket er gjennomført og regnskap er viser et lite
mindreforbruk sett i forhold til revidert budsjett.
5512 Difi – Felles AD og arbeidsflate IKT: Det har ikke vært aktivitet knyttet til dette tiltaket i
2014. Mindreforbruket viser kr 675 000,- sett i forhold til revidert budsjett.
Sak 04/15 Kostnadsfordeling Microsoft TUP på avtale 5654506 for 2013
Forslag til vedtak:
Det utføres en ny kostnadsfordeling på grunnlag av eierskap til avtalen mellom kommunene
Steinkjer og Inderøy.
Vedtak:
Det utføres en ny kostnadsfordeling på grunnlag av eierskap til avtalen mellom kommunene
Steinkjer og Inderøy. Utgiften innarbeides regnskapet inneværende år.
Saksfremstilling:
Det vises til protokoll fra møtet i administrativ styringsgruppe for Inn-Trøndelag IKT 14.02.2014.
Under eventuelt ble det etterspurt en oppstilling i forhold til lisenser. Saken ble tatt opp på nytt
i møtet i administrativ styringsgruppe 24.11.2014.
Bakgrunnen for spørsmålet fra styringsgruppen var knyttet til usikkerhet omkring
kostnadsfordeling mellom kommunene i forbindelse med True UP på Microsoft Enterprise
avtale nr 5654506. Denne kostnaden utgjorde et merforbruk på enhetens driftsbudsjett for
2013 på kr 966 286,-. Som riktig påpekt fra rådmann i Verran var dette på dette tidspunktet en
avtale inngått for Steinkjer og Inderøy kommuner. Kostnaden kom som følge av en
bruksendring i perioden oktober 2012 – oktober 2013. Lisensporteføljen til Verran ble tatt inn i
samme Enterprise avtale fra 1.10.2013. En mindre andel av denne kostnaden er knyttet til
serverprodukter og er benyttet til felles driftsoppgaver for kommunene Inderøy, Verran og
Steinkjer. Dette utgjør kr 63 259,- av den totale kostnaden.
Kostnadsoppsett for Microsoft TUP for avtale 56554506 i lisensperioden 2012-2013
Sak 05/15 IKT Kostnads- og modenhetsanalyse
Forslag til vedtak:
Det gjennomføres en kostnads- og modenhetsanalyse av Inn-Trøndelag IKT gjennom oppdrag
levert av PA Consulting Group i samarbeid med KS KommIT. Kostnadene innarbeides i enhetens
budsjett.
Vedtak:
Det gjennomføres en kostnads- og modenhetsanalyse av Inn-Trøndelag IKT gjennom oppdrag
levert av PA Consulting Group i samarbeid med KS KommIT. Kostnadene innarbeides i enhetens
budsjett.
Saksfremstilling:
Det er behov for å legge et godt grunnlag for videre strategiarbeid for Inn-Trøndelag IKT.
Enheten står sammen med kommunene ovenfor en utfordring i å harmonisere strategi og tiltak
på en slik måte at gevinster av tiltakene realiseres på best mulig måte. I dette ligger også et
grunnleggende arbeid i å legge til rette for fremtidig organisering av IKT-funksjonen for
kommunene.
PA Consulting Group har utarbeidet en metode for kostnads- og modenhetsanalyse for
kommunesektoren sammen med KS KommIT. Denne metoden er benyttet for analyse av mer
enn 60 kommuner til nå, blant annet i Værnesregionen som er en av Inn-Trøndelags
samarbeidspartnere i flere anskaffelser og prosjekter og som er dialogpartner i arbeidet med
strategi.